返回新闻列表

十月恶意软件:Stuxnet轮回转世以及目前发现最危险的Mac OS 恶意软件

创新的Duqu木马

        10月众所关注的焦点无疑是Duqu木马。该木马同世界上首个网络武器——Stuxnet蠕虫存在很多相似之处,所以它的出现吸引了众多人的关注。两款恶意软件存在惊人的相似,表明他们可能是由同一批开发者编写,或者是利用Stuxnet源代码改写(因为该源代码已经被公开)。

        但是,除了相似外,两款恶意软件也存在显著的不同。其中最为显著的不同是Duqu不具备针对工业系统的攻击功能。此外,他们的主要模块也不同,Duqu文件包含一个额外的木马间谍模块,能够拦截键盘输入的数据、截取屏幕并且收集系统信息。所有上面的线索都表明Duqu的主要目的是进行工业间谍,而非工业破坏。

        卡巴斯基实验室专家进行了深入调查,确认了最近遭受Duqu攻击的受害者主要位于伊朗。这一发现进一步表明该恶意软件同Stuxnet关联密切。“我们还发现了最新版本以及较早版本的Duqu文件。这证明了我们之前的猜想,即Duqu的幕后指使者仍在频繁活动和进行攻击。但是同Stuxnet的大范围感染不同,Duqu会仔细选择对特定目标进行攻击。”卡巴斯基实验室首席安全专家Alexander Gostev解释说,“每次针对性攻击,Duqu木马都使用了不同的文件集。另外,攻击中可能不仅只使用了木马间谍模块,还使用了其他具有众多功能的模块。”

针对个人用户的攻击 Bundestrojan

        上个月,德国五个联邦州承认在进行一项调查时,采用了Backdoor.Win32.R2D2木马程序。这一消息引起了轩然大波。德国的法律仅允许警察拦截嫌疑人的Skype通讯,但是这次所使用的恶意软件还能够对很多其他程序进行监控。德国黑客组织Chaos Computer Club针对此事件进行了调查,之后来自卡巴斯基实验室德国办事处的安全专家也加入了调查,最后发现该木马不仅能够拦截Skype信息,还能够拦截几乎所有常见浏览器、多种即时通讯工具和VoIP程序的信息,包括ICQ、 MSN Messenger、Low-Rate Voip、paltalk、SimpPro、sipgate X-Lite、VoipBuster和Yahoo! Messenger。此外,还发现该后门程序能够运行于64位Windows系统下。

        这一事件再次让人们产生了疑问,所谓政府用木马程序是否存在?其使用所涉及到的法律问题如何解决?需要强调的是,同其他反病毒厂商一致,卡巴斯基实验室在此类问题上立场非常坚定,我们会继续检测所有相关恶意程序,不管这些程序是谁开发的或者是出于什么目的开发的。

Android——遭受攻击最为严重

        对移动威胁来说,10月份是一个转折点。卡巴斯基实验室的数据表明,针对Android平台的恶意程序数量首次超过针对Java 2 Micro Edition平台的恶意程序数量。之前,针对J2ME的恶意软件数量一直保持领先地位,这一情况已经持续了两年。“针对Android系统的恶意软件数量急剧增加,表明当前病毒编写者的注意力都已经转移到该平台。”卡巴斯基实验室高级恶意软件分析专家Denis Maslennikov警告说。


不同移动平台的恶意威胁比例

最危险的Mac OS X 木马

        10月份出现了针对Mac OS X系统的Flashfake 木马新变种,名为Trojan-Downloader.OSX.Flashfake.d。该木马会伪装成Adobe Flash Player安装文件。同之前版本一样,该木马最新变种的主要功能仍然是下载其他文件到受感染计算机。但是,新变种还具有一种新的功能,能够关闭Mac自带的保护系统XProtect。XProetct是一个简单的特征扫描模块,每天都会进行更新。一旦该保护系统被关闭,系统就无法接收来自苹果公司的更新。而且XProtect系统的开发者并没有为其添加自我防御机制,使得其很容易就被关闭。一旦Trojan-Downloader.OSX.Flashfake.d感染计算机,不仅会保护自身不被删除,还会关闭系统防御系统,使得系统更容易被其他恶意程序感染。而如果Mac系统自带的保护系统未被关闭的话,则可以拦截这些恶意程序。总之,这款最新的木马变种相对于其他OS X恶意软件,危险性更强。

针对政府和企业网络的攻击

        今年的10月份可谓多事之秋,许多政府和企业网络遭到攻击。其中,美国和日本遭受攻击最为频繁。

        首先,日本国会众议院议员遭受到攻击。这次攻击中,黑客可能获取到被攻击议员的内部文件和电子邮件。此外,日本在全球多个大使馆中的计算机被发现存在恶意软件。所感染的恶意程序会连接两台位于中国的服务器,这两台服务器也曾被用于攻击Google。

        日本三菱重工曾在8月遭受不明攻击,之后更多关于此次攻击的信息被揭露。日本警方通过调查发现被攻击的83台计算机中包括50种不同的恶意程序。黑客对受感染系统的访问次数超过300,000次。警方在寻找攻击来源过程中,又发现一台被感染计算机,隶属于日本航空宇宙工业会(SJAC)。黑客曾利用这台计算机向三菱重工和川崎重工发送恶意邮件,并且利用美国匿名代理服务器访问SJAC这台计算机,掩盖自己的踪迹。尽管如此,日本专家仍然倾向于认为此次攻击来自中国。

        本月,美国某空军基地的无人飞机地面控制系统被病毒感染,虽然这一事件并不非常具有戏剧性,但是却再一次表明某些重要的基础设施所采用的安全措施并不令人满意。美国国防部透露,感染系统的木马其实是用于窃取在线游戏用户数据的。此次感染地面控制系统,很可能是偶然,这次感染并非是一次蓄意的攻击。

10月份排名前10位互联网威胁

1 Malicious URL 82.47% 0
2 Trojan.Script.Iframer 2.25% +1
3 Trojan.Win32.Generic 1.41% +4
4 Trojan.Script.Generic 1.18% 0
5 Exploit.Script.Generic 1.03% +2
6 AdWare.Win32.Shopper.il 0.46% 新上榜
7 Trojan-Downloader.Script.Generic 0.46% +1
8 AdWare.Win32.Eorezo.heur 0.32% -3
9 Trojan.JS.Popupper.aw 0.27% 新上榜
10 AdWare.Win32.Shopper.jq 0.23% 新上榜

要了解更多关于卡巴斯基实验室在10月份检测到的互联网威胁和存在于计算机用户上的威胁详情,请访问:http://www.securelist.com/en/analysis/204792200/Monthly_Malware_Statistics_October_2011.